BSI warnt vor gefährdeten Cloud-Servern: Über 20.000 deutsche ownCloud- und Nextcloud-Installationen veraltet
Das BSI ist auf viele veraltete Installationen von ownCloud und Nextcloud gestoßen. Obwohl die Betroffenen Bescheid wissen, haben bislang die wenigsten reagiert.
- Ronald Eikenberg
Über 20.000 ownCloud- und Nextcloud-Installationen in Deutschland sind nicht auf dem aktuellen Stand und somit potenziell verwundbar. Davor warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Betroffen sind demnach große und mittelständische Unternehmen, öffentliche und kommunale Einrichtungen, Energieversorger, Krankenhäuser, Rechtsanwälte und private Nutzer.
ownCloud und dessen Fork Nextcloud dienen dem Betrieb eines eigenen Cloud-Servers, der Dateien, Kontakte, Kalender und Mails beheimatet. Gelingt es einem Angreifer, auf durch Ausnutzung einer Lücke auf den Server zuzugreifen, erhält er Einsicht in sämtliche Daten. Im schlimmsten Fall kann er sogar die Kontrolle über den Server gewinnen und eigenen Code ausführen.
Betroffene halten die Füße still
Das BSI hatte die Netzbetreiber der Betroffenen, darunter auch Parteien und Organisationen, bereits im Februar auf das Sicherheitsrisiko und einen Sicherheitsscanner für die Installationen hingeweisen. Das BSI bat auch darum, die betroffenen Kunden zu informieren. Passiert ist jedoch wenig.
Bislang hat nach Angaben des Bundesamts lediglich ein Fünftel der Betroffenen reagiert und die verwundbare Installationen auf einen aktuellen, sicheren Stand gebracht. BSI-Präsident Arne Schönbohm findet hierzu klare Worte: "Der Betrieb von Clouds mit veralteten Software-Versionen, für die bereits seit langer Zeit Updates der Hersteller bereitstehen, ist fahrlässig und macht es Kriminellen viel zu leicht, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen."
Wer eine eigene ownCloud- oder Nextcloud-Installation betreibt, sollte regelmäßig überprüfen, ob sie noch auf dem aktuellen Stand ist. Erscheint ein Update, sollte man es so schnell wie möglich installieren. Ferner kann man seine Installation über den ownCloud Vulnerability Scanner respektive den Nextcloud Security Scan auf Sicherheitslücken abklopfen. Wer seinen Kunden kommerziell Installationen der Cloud-Sofware anbietet, dem legt das BSI den Anforderungskatalog Cloud Computing (C5) ans Herz. (rei)
